02.08.10

O$ de$afio$ da $egurança da Informação

Fonte: Roberto Henrique

Por que é tão difícil vender projetos de segurança da informação, mesmo provando ao cliente que se trata de um investimento e não um custo adicional?

Identificar e analisar as diversas situações de risco que o cliente está exposto e propor soluções adequadas é uma tarefa complexa, que exige dos profissionais de segurança da informação muita dedicação, controle e postura diante de situações de pressão e ainda, conhecimento em várias áreas além do TI. Isso requer das empresas de consultoria um grande investimento para manter sua equipe capacitada por meio de constantes treinamentos e dinamismo para preservar os melhores profissionais dentro do quadro de funcionários, diante da grande quantidade de oportunidades que permeiam o mercado.

 

Mas obviamente para o cliente, isso não importa, pois ele também, dentro do escopo de seu negócio deve passar por situações semelhantes. Portanto devemos justificar com outros argumentos os valores apresentados para a prestação deste tipo de serviço de consultoria, de forma que o cliente reconheça a importância do trabalho para a sua organização.

 

Posso dizer que praticamente 100% dos nossos clientes que demonstraram interesse em um trabalho que contemplasse uma avaliação dos riscos que suas empresas estavam expostas, tiveram algum incidente grave de segurança que os levaram a buscar uma resposta imediata para resolver seus problemas, não apenas para o seu ambiente de TI, mas ao seu negócio como um todo, para que não ocorressem mais interrupções imprevistas, afetando a continuidade de suas operações.

 

O interessante é que nestes clientes, havia uma boa estrutura do ambiente de TI, com profissionais dedicados, servidores e estações de trabalho com antivírus e monitoramento de acesso à internet e e-mails, firewall, backups atualizados, mas tudo isso não impediu que as empresas tivessem interrupções de suas atividades e grandes prejuízos financeiros. Obviamente não era por falta de proteção periférica, pois em alguns casos, houve grande investimento financeiro em ferramentas, mas sim por falta de uma gestão dos recursos tecnológicos, das pessoas e dos processos que envolviam todas as operações críticas das empresas. Por trás daqueles servidores bem organizados em seus racks, daquela equipe de técnicos de TI dedicados e da aparência de normalidade nos escritórios das empresas, havia uma colcha de retalhos sustentando toda essa estrutura.

 

De nada adianta todo o investimento em tecnologia, se não houver um preparo adequado para utilizar estes recursos, que incluem definições das regras para o uso dos recursos de processamento da informação e da própria informação, procedimentos detalhados das operações, identificação dos responsáveis por cada ativo da empresa, treinamentos e trabalhos de conscientização para garantir o entendimento e o apoio da parte mais vulnerável em qualquer empresa, as pessoas.

 

Em muitos casos, após um levantamento dos principais riscos que possam comprometer a continuidade dos negócios de uma empresa, constatamos que todo aquele investimento em tecnologia poderia ter sido melhor distribuído ou até evitado, pois quando falam em proteção, naturalmente somos levados a pensar em adquirir ferramentas como antivirus ou firewalls, mas nunca em treinar pessoas ou documentar processos.

 

É neste ponto que o papel de uma consultoria especializada pode ser relevante.  Com a devida avaliação pode-se identificar os pontos mais críticos para os negócios da empresa e direcionar a alta administração na decisão de como distribuir os recursos financeiros disponíveis de maneira equilibrada, para elevar o nível de segurança de maneira uniforme, alinhado as perspectivas de crescimento da empresa.

 

É notória a dificuldade de ter um projeto segurança da informação com apoio de terceiros aprovado pela direção, diante de tantos incidentes e investimentos mal planejados, muitas vezes por ter em foco apenas o departamento de TI. Cabe ao gestor de TI convencer a alta administração de sua empresa que o perigo está em toda a organização, dividido em todos os departamentos, cada um com seu grau de relevância, podendo atingir diferentes níveis de impacto aos negócios, quando não tratado adequadamente.

 

Roberto Henrique é consultor da ABCTec, especializado em análise  de vulnerabilidades e no tratamento de incidentes de segurança da informação. Possui as certificações Microsoft MCP/MCDST, F-Secure Certified Sales Professional - FCSP,  D-Link DBC. Membro do Comitê Técnico ABNT/CB21:CE27 sobre Segurança da Informação.

 

Contato: roberto(at)abctec.com.br

Site: www.abctec.com.br

 



Home  |  Contato
Parcerias International: All-About-Security | KoSiB eG | Forum Security | Network Computing | NGG e.V. | OGuedes | Steinbeis

© Fórum de Segurança o Brasil 2017